El equipo forense de Sansec ha identificado una familia de malware Magecart que utiliza Stripe, el procesador de pagos, como servidor de mando y como destino de exfiltración, apoyándose en Google Tag Manager para la fase de carga. El código malicioso nunca se descarga desde un dominio controlado por el atacante: el loader se sirve desde contenedores reales de Google Tag Manager (como GTM-P6KZMF63), y el skimmer se almacena en los metadatos de un cliente de Stripe del atacante, que lo recupera y ejecuta con new Function().
En las páginas de checkout de Magento y Adobe Commerce, el skimmer captura los datos de la tarjeta y la facturación, los codifica mediante XOR con la clave EGAU3X9PAMJ8RYRNJSPV y los deposita en localStorage bajo la clave cus_customer_id. Un segundo proceso, ejecutado un segundo después de cada carga de página y luego cada 60 segundos, divide ese blob en dos mitades y lo envía a la API de clientes de Stripe (api.stripe.com/v1/customers) como un cliente ficticio, utilizando una clave secreta sk_test_ incrustada en el script.
El cliente de Stripe usado como servidor de mando (cus_TfFjAAZQNOYENR) se creó el 24 de diciembre de 2025 a partir de la plantilla de muestra de Stripe (jennyrosen@stripe.com), lo que sitúa el inicio de la campaña a finales de 2025. El uso de api.stripe.com y googletagmanager.com, dominios que todas las tiendas permiten por defecto, permite al malware evadir las reglas de Content Security Policy y los filtros de red que bloquearían dominios desconocidos. Sansec advierte de que cualquier clave secreta de Stripe encontrada en JavaScript de cliente es, por sí misma, prueba de compromiso.